2. PoC: Persistence y la conexión inversa
• En este prueba de concepto se utilizara el script persistence para conseguir
que la maquina vulnerada sea la que ce conecte al usuario atacante o
auditor. Este es un ejemplo sencillo de conexión inversa para evitar que los
sistemas de protección del usuario victima eviten la conexión con su
maquina.
• El script persistence dispone de varios parámetros los cuales aportan
potencia y flexibilidad a esta característica. A continuación se muestra
una tabla con los parámetros y una breve descripción de ellos.
3. PoC: Persistence y la conexión inversa
Parámetro Descripción
-A Automáticamente se configura multi/handler para
conectar con el agente
-S Automáticamente arranca el agente como un
servicio al iniciar el sistema.
-U El agente intenta conectar cuando se inicia sesión
-X El agente intenta conectar cuando se inicia el
sistema
-P Especifica el payload que se va a utilizar, por defecto
es windows/meterpreter/reverse_tcp
-T Especifica la plantilla del ejecutable para utilizar
-i Especifica el numero de segundos que se deben
pasar entre cada intento de conexión por parte del
agente.
-p Especifica el puerto de la maquina del atacante
donde se esperara a recibir la conexión.
-r Especifica la dirección IP a la que se conectará el
agente, es decir la dirección IP del atacante.
4. PoC: Persistence y la conexión inversa
Configuración del modulo exploit/multi/handler para recibir conexiones de persistence
7. PoC: Persistence y la conexión inversa
• En la imagen se puede visualizar como se lanza el script persistence
con la siguiente configuración:
• El agente instalado en la maquina vulnerable intentará conectar
cuando se inicie el sistema y cuando se inicie la sesión.
• Realizara intentos de conexión cada 60 segundos
• Intentará conectarse al puerto 4444 en la dirección 192.168.0.110
8. PoC: Persistence y la conexión inversa
• ¿Cómo se recibe la conexión por parte del agente? Se utilizara
exploit/multi/handler tal y como se ha realizado en casos anteriores.
La configuración del modulo es la habitual, es decir payload
Windows/Meterpreter/reverse_tcp o el que se haya configurado al
agente con el parámetro –P, la dirección IP de la maquina del
atacante asignada a la variable LHOST y el puerto en la variable
LPORT
12. PoC: Persistence y la conexión inversa
• Ahora toca esperar a que la maquina vulnerada se encienda, en el
caso de que se encontrase apagada, o de que transcurran los
segundos de reintento de conexión facilitados en el parámetro –i en la
configuración del agente.